CVE-2023-4911 Looney Tunables - Ce n'est pas tout, messieurs dames
Vulnérabilité : Débordement de tampon dans l'analyse par la glibc de la variable d'environnement GLIBC_TUNABLES
CVE ID : CVE-2023-4911
Score CVSS : 7.8
L'état de l'Extended LifeCycle Support de TuxCare peut être trouvé dans le TuxCare ici.
Dans ce qui s'apparente à un environnement de cybersécurité très intéressant après les mois d'été, plusieurs vulnérabilités dignes d'intérêt sont apparues. Poursuivant la (mauvaise) tendance à nommer les vulnérabilités, nous avons maintenant " Looney Tunables ", qui affecte la variable d'environnement " GLIBC_TUNABLES " de la glibc. Elle permet une élévation locale des privilèges, et est exploitable de manière triviale avec du code d'exploitation dans la nature.
Décodage des "Looney Tunables" (en anglais)
La vulnérabilité "Looney Tunables" réside spécifiquement dans le chargeur dynamique ld.so de la glibc, une bibliothèque centrale qui fait partie intégrante des systèmes basés sur Linux, fournissant des fonctionnalités fondamentales telles que l'ouverture, la lecture, l'écriture, etc. Cette faille, découverte et divulguée par l'entreprise de cybersécurité QualysCette faille, découverte et divulguée par la société de cybersécurité Qualys, concerne un débordement de mémoire tampon dans le traitement de la variable d'environnement GLIBC_TUNABLES, et a été introduite involontairement dans un commit de code en avril 2021.
La variable d'environnement GLIBC_TUNABLES, conçue pour optimiser les applications liées à la glibc, est un outil pour les développeurs et les administrateurs système, qui permet d'affiner et d'optimiser les applications liées à la glibc. Cependant, l'exploitation de cette variable peut avoir un impact négatif sur les performances, la fiabilité et la sécurité du système.
Distributions à risque
Une multitude de distributions Linux majeures, y compris, mais sans s'y limiter, RHEL 8 et 9, Ubuntu 22.04 et 23.04, et Debian 12 et 13, ont été identifiées comme sensibles à cette vulnérabilité. Bien que la liste complète des distributions touchées soit encore en cours de dévoilement, une exception notable est Alpine Linux, qui utilise la bibliothèque musl libc au lieu de la glibc, ce qui l'immunise contre cette faille spécifique.
Impact et risques potentiels
L'exploitation de "Looney Tunables" pourrait permettre aux acteurs de la menace d'exécuter un code contrôlé par l'attaquant, en exploitant la variable d'environnement GLIBC_TUNABLES pour obtenir potentiellement les privilèges de l'administrateur. Cela peut avoir de multiples conséquences, allant de l'accès non autorisé aux données et de leur manipulation au déploiement d'autres activités malveillantes au sein du système compromis. Compte tenu de l'omniprésence des distributions concernées, l'ampleur de l'impact potentiel est considérable et alarmante.
Atténuation et réponse à la menace
En réponse à l'identification de cette vulnérabilité, plusieurs distributions Linux ont publié des avis et des recommandations d'atténuation. Red Hat a publié un avis qui fournit une mesure d'atténuation temporaire. Lorsqu'elle est activée, cette mesure d'atténuation met fin à tout programme setuid invoqué avec GLIBC_TUNABLES dans l'environnement, servant de bouclier provisoire contre l'exploitation. Bien entendu, cela présente l'inconvénient d'interférer avec les utilisations légitimes des programmes setuid lancés par le biais de cette méthode.
Pour les systèmes ayant un accès local, on ne saurait trop insister sur l'urgence de corriger la vulnérabilité identifiée. Il est conseillé aux administrateurs de systèmes et aux professionnels de l'informatique d'appliquer rapidement les correctifs et les mises à jour disponibles et d'utiliser les stratégies d'atténuation recommandées pour protéger les systèmes contre une exploitation potentielle.
Pour les systèmes qui ne permettent pas un accès interactif direct de l'utilisateur, il est toujours fortement recommandé d'appliquer un correctif, car la vulnérabilité peut être exploitée dans le cadre d'une chaîne d'exploitation et peut fournir un chemin d'accès à la racine du système, même si le vecteur initial est une vulnérabilité différente de celle de Looney Tunables.
Une dernière remarque sur la dénomination des vulnérabilités
Attribuer des noms à des vulnérabilités spécifiques est un moyen d'attirer l'attention et d'accentuer artificiellement l'attention des médias sur ces vulnérabilités, mais cela se fait au détriment de l'attention portée à d'autres vulnérabilités, sans nom, présentant tout autant de risques et d'exposition, qui peuvent "passer à travers les mailles du filet" et ne pas être corrigées. Il s'agit d'une préoccupation sérieuse qui peut avoir des répercussions importantes sur la sécurité.
Les équipes informatiques sont encouragées à regarder au-delà des noms et des logos amusants et à adopter une approche plus globale des correctifs, où le facteur le moins important devrait être le nom d'une vulnérabilité. En fait, en cas de doute, il faut tout patcher. Si la tâche vous semble insurmontable, contactez-nous et découvrez comment des outils tels que KernelCare Enterprise et Extended Lifecycle Support peuvent vous aider à atteindre cette couverture avec un minimum d'effort et d'allocation de ressources.